S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 07 mai 2009
No CERTA-2009-AVI-175 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
Drupal
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-175 |
| Titre |
Vulnérabilités
dans Drupal |
| Date de la première
version |
07 mai 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Drupal SA-CORE-2009-005 du
29 avril 2009 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Atteinte à la confidentialité des
données ;
- injection de code indirecte ;
- injection de requêtes illégitimes par
rebond.
- Drupal versions 5.16 et
antérieures ;
- Drupal versions 6.10 et
antérieures.
Deux vulnérabilités dans Drupal permettent de réaliser des
injections de code indirectes et des injections de
requêtes illégitimes par rebond.
Deux vulnérabilités ont été
découvertes dans Drupal
:
- des injections de code indirectes sont possibles par
l'intermédiaire de caractères UTF-8
pouvant être interprétés en
UTF-7 ;
- par l'intermédiaire d'un lien
spécifiquement constitué, les données
saisies dans un formulaire peuvent être transmises
à un site tiers. Ce site peut ensuite réaliser
des injections de requêtes illégitimes par
rebond.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 07 mai 2009
- version initiale.
CERTA
2012-01-04
|
)
